asp.net.asmxWeb服务ishowXXE漏洞-外部DNS

我们在asp.net asmx Web服务中发现了XML外部实体漏洞。

我们正在使用burp套件测试asp.net .asmx Web服务，以检查XML外部实体处理漏洞。参见：https : //www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing

我们看到当请求中包含DTD时，如下所示：

DNS请求被发送到cigitalcollaborator.com。这表明asmx Web服务正在处理请求中的DTD。

我们正在使用.net版本4.5.2。

根据此链接，对于.net 4.5.2及更高版本，应隐式阻止XXE漏洞：https ://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#.NET_4.5.2_and_later

但这不是...我们进行此DNS查找。

底层的.net框架正在处理此asmx Web服务的XML反序列化/序列化，因此没有代码可在此处进行实际修复。我们不能更改行为权限，因为它在底层框架中？

我们如何为ASMX Web服务修复此XXE漏洞？

谢谢

乔恩·波